CN102823219B - 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备 - Google Patents

保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备 Download PDF

Info

Publication number
CN102823219B
CN102823219B CN201180015324.7A CN201180015324A CN102823219B CN 102823219 B CN102823219 B CN 102823219B CN 201180015324 A CN201180015324 A CN 201180015324A CN 102823219 B CN102823219 B CN 102823219B
Authority
CN
China
Prior art keywords
request
source symbol
source
identifing
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201180015324.7A
Other languages
English (en)
Other versions
CN102823219A (zh
Inventor
D.费伊汤斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital CE Patent Holdings SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN102823219A publication Critical patent/CN102823219A/zh
Application granted granted Critical
Publication of CN102823219B publication Critical patent/CN102823219B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/142Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明允许保护对数据或服务的访问,该数据或服务经由实现一方法的设备对该设备和应用可用。为了保护对经由网络设备访问的数据或一个或多个服务的访问,本发明提出一种避免对数据或一个或多个服务的未授权访问的方法和实现该方法的设备。

Description

保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备
技术领域
本发明总体涉及数字数据通信,并更具体地涉及一种保护经由网络中连接的设备对数据和服务的访问的方法和装置。
背景技术
本地网络一般都是围绕称为网关的中央设备组织的。网关则是本地网络或LAN(局域网)与外部网络或WAN(广域网)中的设备之间的用于通信的必经通道。现有技术表明,网关,特别是在家庭网络环境中,发挥了越发重要的作用。借助于家庭网络中的广泛部署的网关和多个连接网络的设备,网关正变为令黑客感兴趣的目标。家庭网络通常包括一个或多个经由USB(通用串行总线)、以太网或WiFi连接互连到网关的下列设备:个人计算机(PC)、无线话机、IPTV(网络电视)机顶盒(IPTVSTB)、DLNA(数字生活网络联盟)电视机和大容量存储设备。为了保护家庭网络设备免受攻击,网关的安全措施通常降低到在PC上存在单独的杀毒和/或防火墙功能。家庭网络的安全进一步受益于网关中的网络地址转换(NAT)特性,网络地址转换(NAT)特性是一种允许将网络地址分配到家庭网络中的设备的特性,这些地址是不为家庭网络之外所知的。NAT特性的使用导致对外部网络上的设备隐藏本地网络中的设备的独立地址。因此,这意味着对网关自身和尚未装备杀毒和/或防火墙软件的其他相连的设备仅提供有限保护。另外,出于家庭网络管理目的而访问网关是在该网关中经由运行在网络浏览器应用上的基于网络的应用完成的,并且熟知的是,网络服务器对于安全性缺陷是易受攻击的。然后,网络浏览器中的易受攻击性可以让黑客访问连接到家庭网络中的不安全的设备,并且甚至可以让黑客访问家庭网络和外部网络的设备之间的全部通信,因为家庭网络和外部网络之间的全部通信(反之亦然)都通过网关。
希望配置它们的网关(例如,改变或输入无线访问(例如,WPA(Wi-Fi保护访问))的安全密匙,或配置NAT端口映射,或配置在连接到网关的设备之间共享的本地文件)的用户通常必须登录网关的网络应用。这样的网络应用经由例如HTTPS协议(位于应用层的因特网协议集的一种协议)的HTTP是可访问的(因特网协议包括链路层、网络层、传输层和应用层;链路层协议的示例是ARP、DSL;网络层协议的示例是IP、IGMP;传输层协议的示例是TCP、UDP;应用层协议的示例是所提及的HTTP/HTTP,但也包括DHCP、RTP、SOAP、SSH)。一旦成功验证,它们将被指定由会话识别符或会话ID识别的会话。然后,使用会话识别符的全部请求将被认为“安全”并且由网关上的网络服务器处理,从而访问权限于与用户关联的权利。因此恶意黑客将例如通过监视网关和连接到该网关的设备之间的通信,或通过访问网络浏览器所存储的信息并提取任何存储的会话ID,试图获得这样的会话ID,并随后使用所获得的会话ID以访问设备、数据和/或服务。此技术就是熟知的会话窃取(session-stealing)。
使用各种机制以防止会话窃取。例如,随机生成会话ID以使得它们不可预测;网络浏览器拒绝访问cookies,其中根据在获得该会话ID之外的另一网站的环境中运行的代码存储该会话ID,在空闲超时之后删除会话ID。不过,总是存在有效会话ID被窃取的可能性。在此情况下,具有限制会话ID的有用性的额外保护机制是有用的。
熟知的保护机制是将会话锁定到初始请求的来源的IP地址。实际上,例如对于经由代理服务器农场、装载平衡器或NAT访问网络服务器的用户,这会造成会话丢失。对于这样的用户,他们的IP地址可以合法地在多个请求之间更改。
因此,存在以更好的方式保护网络设备免受目的在于获得网关控制或连接到网关的一个或多个设备的控制的恶意攻击的需求,该方式没有现有技术的缺点。
发明内容
本发明目的在于缓解现有技术的某些不便。
更准确地,本发明允许保护对数据或一个或多个服务(以下为“数据/服务”或“数据/多个服务”)的访问,所述数据或一个或多个服务经由实现一方法的设备(诸如网关设备)对于设备和应用是可访问的。
为了保护对数据或一个或多个服务的访问,本发明提出保护对数据和服务的访问的方法,所述数据和服务经由实现该方法的网络设备来访问,该方法包括下列步骤:接收访问数据或至少一个服务的请求,所述请求包括识别所述请求的源的源识别符;确定所述请求是初始请求还是后续请求,所述确定包括,当所述请求是后续请求时,检验会话识别符的请求的存在,所述会话识别符识别用于访问数据或服务的会话;如果所述请求是初始请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则生成用以后续访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的会话识别符,处理所述初始请求,并且将所生成的会话识别符发送到所述初始请求的源;如果所述请求是后续请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则比较包括在所述后续请求中的所述会话识别符与用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的所述会话识别符,并且如果所述源识别符对应,则处理所述后续请求。
根据本发明的变式实施例,识别所述请求的源的所述信息识别发送所述请求的源。
根据本发明的变式实施例,识别所述请求的源的所述信息识别接收所述请求的源。
根据本发明的变式实施例,识别所述请求的源的所述信息指定多个物理连接器。
根据本发明的变式实施例,,识别所述请求的源的所述信息指定多个网络接口。
根据本发明的变式实施例,识别所述请求的源的所述信息指定网络接口地址。
根据本发明的变式实施例,识别所述请求的源的所述信息指定软件应用的识别符。
根据本发明的变式实施例,所述方法作用于因特网协议集的应用层。
根据本发明的变式实施例,所述方法在网络应用中实现。
本发明也包括一种用于保护对数据和服务的访问的网络设备,所述数据和服务经由该设备访问,所述设备包括:用于接收访问数据或至少一个服务的请求的网络接口,所述请求包括识别所述请求的源的源识别符、和识别用于访问数据或服务的会话的可选会话识别符;用于确定所述请求是初始请求还是后续请求的部件,所述确定包括,当所述请求是后续请求时,检验会话识别符的请求的存在,所述会话识别符识别用于访问数据或服务的会话;如果所述请求是初始请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则生成用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的会话识别符,处理所述初始请求,并且所述网络接口将所生成的会话识别符发送到所述初始请求的源;如果所述请求是后续请求,则确定所述源识别符的源识别符组,并且如果可以确定所述源识别符组,则比较所述会话识别符与用以访问来自具有处于所确定的源识别符组中的源识别符的源的数据或至少一个服务的所述会话识别符,并且如果所述源识别符对应,则处理所述后续请求。
附图说明
本发明的更多优点将通过本发明的特定、非限制性实施例的描述来呈现。将参考下列附图描述实施例:
图1示出了借助于网络互连的设备图示的本发明的特定实施例。
图2示出了根据本发明特定实施例的图1的网关131。
图3示出了根据本发明特定实施例的、图示接收数据/服务请求时的事件的序列的序列图。
图4示出了实现本发明方法的特定实施例的例如通过图1的网关实现的算法。
具体实施方式
图1示出了互连不同网络的网关设备中的本发明的特定实施例。
用户前提(premise)130包括网关131和将该网关131与多媒体存储设备141互连的局域网136、DLNA电视机139、IPTV机顶盒143、便携式PC142和电话机133。设备133、139、141和143分别经由有线连接135、140、137和146连接到局域网136,而便携式PC142通过132和138经由无线连接而连接到网关。
网关131经由连接121进一步连接到外部网络120。外部网络120连接到两个局域网106和116。三个设备100、101和102连接到局域网106,而两个设备110和111连接到局域网116。全部这些设备100-102、110-111、131、133、139、141-143都可能是请求访问数据或服务的源。
图2示出了根据本发明的特定实施例的图1的网关131。
该网关131包括下列元件:
-中央处理单元200或CPU;
-DSL(数字用户路)接口206;
-四种以太网型的网络接口201-202和204-205;
-无线LAN型的第五网络接口203;
-存储器205,包括源识别符组/源ID仓库2050、会话ID/源识别符组仓库2051和多用途存储器区2052;和
-可选定时单元207。
CPU200、网络接口201-205、存储器205、DSL接口206和定时单元207通过数字数据通信总线210互连。设备131具有下列输入/输出:输入/输出137连接到网络接口201,输入/输出140连接到网络接口202,天线132连接到网络接口203,输入/输出135连接到网络接口204,输入/输出150连接到网络接口205,输入/输出121连接到DSL接口206。
在存储器205内,存储器区2050用以存储并取回源识别符组-源ID关系,存储器区2051用以存储和取回会话ID-源识别符组关系。此信息以诸如之后描述的表格1和2的表格形式存储。根据变式实施例,此信息存储在数据库中。
可选定时单元207用以对会话ID增加超时延迟并且能够以各种方式用来进一步增加会话ID的安全性。例如,如果所生成的会话ID一定时间未使用,例如在一定量的时间内没有数据/服务的请求,则自动撤销会话ID。使用所撤销的会话ID的任何新请求随后被拒绝。例如,在一定超时延迟之后会话ID自动撤销,无论是否使用会话ID。
中央处理单元200能够处理实现本发明的步骤的算法。该算法存储在多用途存储器区2052中。多用途存储器区2052进一步用于存储执行该算法所需的变量。
处理单元200能够确定并在存储器205中存储要用于一个或多个请求的初始识别符(会话识别符)。该处理单元200进一步能够处理访问数据或访问服务的请求。该处理单元200进一步能够根据存储在存储器205中的信息确定会话识别符的源识别符组。如果之前的确定表明存在会话识别符的至少一个源识别符组以及如果确定如同在请求中提供的源识别符包括在会话识别符的至少一个源识别符组中,则该处理单元200进一步能够处理访问数据或服务的请求。
可以根据诸如基于随机数生成的已知方法来生成会话ID。
图3示出了根据本发明特定实施例的、图示接收数据/服务请求时的事件的序列的序列图。
该图图示了本发明的一些方面,并特别示出了根据本发明特定实施例的、在简单场景下局域网中的设备、实现本发明的网关和外部网络中的设备之间的交换的协议。
借助四条垂直时间线来图示序列图,该垂直时间线代表到PC142、网关131和位于LAN2116中的设备111的不同网络接口的两种连接。
序列图开始于PC142从网络接口“NI3”经由连接132/138发送数据/服务“a”的请求300到网关131。“NI3”代表允许识别请求300源自的源的信息。根据本发明的特定实施例,此源ID是发出请求的源的网络接口(即,在网关131的接口3的情况下)的IP地址,并且源ID因此识别接收请求的源。根据本发明的变式实施例,源ID是PC142的网络接口138的IP地址,并且该源ID因此识别传输请求的源。根据本发明的变式实施例,源ID指定从中发送请求或者从中接收请求的网络接口板上的特定物理连接器。根据再一变式,源ID是前述的任意组合,例如,从中发送请求的源的网络接口的IP地址与其上接收请求的网络接口的IP地址的组合。通过请求与用于发送该请求的网络链接之间的紧密耦接,此变式具有对访问数据/服务增加进一步的安全性的优点,这在需要限制性访问的情况下是有用的。这些单独的变式具有允许较宽松耦接的优点,该较宽松耦接在允许更大机动性的情形下可能是必需的。
根据本发明的变式实施例,在此应用运行于设备PC142(请求的来源)上的情况下,此源ID是应用识别符。作为示例,该应用是VPN(虚拟专用网)应用,经由隧道技术(tunneling)提供对公司网络的安全访问。在接收请求300时,网关131生成会话识别符“z”,用箭头301图示。这样的会话ID仅在接收一系列后续请求的数据/服务的初始请求时生成。根据本发明的特定实施例,基于在网关131的存储器中存储的信息中检查是否已经对源ID生成会话ID来完成是否接收到初始或后续请求的确定。如果没有出现源ID的会话ID,则请求是初始请求,否则该请求就是后续请求。根据本发明的变式实施例,确定是否接收到初始或后续请求是基于该请求中会话ID的存在;如果该请求不包括会话ID,则它是初始请求,否则它是后续请求。此变式具有实现简单的优点,但是比较于上述特定实施例,具有更易于生成会话ID的缺点,而黑客可以利用此缺点获得关于所生成ID的类型的信息,并确定有效会话ID像什么。通过所描述的特定实施例,黑客更难以获得新会话ID,因为他第一次从相同源(ID)请求数据或服务时仅可以获得新会话ID。在图示的示例中,箭头301表明,接收到的请求是初始请求,在接收请求时生成会话ID。根据本发明的特定实施例,此会话ID随后被存储并被通信到请求者,用箭头302图示。根据本发明的变式实施例,该会话ID包括在对请求300的响应305中而不是直接通信到请求者,该请求300包括关于所请求的数据/服务的信息。请求者(此处是PC142)存储会话ID并将其用于后续请求直到撤销会话ID。网关131基于在存储器区2050中存储的信息,对源ID确定一个或多个源识别符组。根据本发明的特定实施例,通过例如网络管理员的用户手动输入存储器区2050中的源识别符组/源ID信息。根据本发明的变式实施例,例如基于网关131知晓的网络拓扑信息,或基于关于网关131知晓的应用的信息,自动生成存储器区2050中的源识别符组/源ID信息。根据本发明的再一变式实施例,部分地自动生成、部分地由用户手动输入存储器区2050中的源识别符组/源ID信息。后一种变式特别令人有兴趣,允许缓减用户手动输入大量数据的任务,同时允许他修改或适配自动生成的信息。
在生成新会话ID时,网关131将会话ID(这里:z)关联到对源ID(这里:“NI3”)有效的源识别符组(例如LAN3)并存储此信息(即,所生成的会话ID及其对源识别符组的关联)到存储器区2051。
在给定时刻,图3中图示的情形表明恶意黑客对局域网136的入侵303,准许该黑客访问由网关131生成的会话ID。接着,PC142在不同于用于初始请求300(“NI3”)的网络接口(“NI5”)上发布数据/服务(b)的后续请求306。该后续请求306包括关于所请求的数据/服务(b)的信息、作为该请求(“NI5”)来源的源识别的信息和为了后续请求从网关131接收的会话ID(这里:z)。在接收后续请求306时,网关131借助于在存储器区2050(源ID组/源ID,参见表格1)中存储的信息来确定(307)源ID所属的源识别符组(LAN3)。根据本发明的特定实施例,如果没有找到源ID(310)的源识别符组,则网关131发送警告消息(311)到发布该请求的源。根据变式实施例,网关131将该请求者的源ID放到黑名单上,每当接收到数据/服务的请求时,检查该黑名单。如果源ID在黑名单上,则可以拒绝该请求而不用进一步处理。根据再一变式实施例,会话ID被认为受到破坏并被撤销,在此情况必须请求新会话ID。这些实施例的不同组合是可能的并增加了会话安全性。但是,如果找到源识别符组(307),则网关131借助于在存储器区2051(会话ID/源ID组,参见表格2)中存储的信息来确定请求306提供的会话ID(z)对所找到的源识别符组(LAN3)之一是否有效。如果没找到有效的源识别符组,则可以根据本发明不同的变式实施例应用上述同样的功能,即,警告消息、黑名单或两者。根据图示的示例,验证是OK并且数据/服务(b)被呈现给请求设备142,这用箭头308图示。但是,当黑客尝试通过发送包括窃取的会话ID(z)的数据/服务(c)的请求309来使用窃取的会话ID(z)时,确定会话识别符(z)的源识别符组的步骤(紧跟确定源ID(n)是否在确定的源识别符组(LAN3)中)将表明(310)该源ID(n)不在会话ID(z)的任何源识别符组中,因此该请求被拒绝,并且因此避免了会话ID的误用。
根据特殊实施例,至少加密存储器区2050和2051中的信息,从而避免黑客获得关于会话ID如何关联到源识别符组以及针对这些源识别符组存在什么有效IP地址的信息,黑客可以使用该信息通过地址欺骗来获取对数据/服务的访问。
该图图示了来自本地网络外部的入侵。当然,入侵也可以来自该网络内部,例如,黑客可以经由对网关131的无线或有线连接来获得对本地网络的访问。
经由网关来访问对其请求访问的数据/服务。这意味着网关可以直接提供数据/服务,或者意味着网关仅是中间设备,数据/服务是通过经由网关连接的另一源提供的。
根据本发明,如在所讨论的图中所图示的,可允许的后续访问不需要来源于和发出初始请求的源相同的源。关于这点,本发明允许极大的灵活性,因而例如允许在请求之间改变源ID,只要该请求的源ID属于为所使用的会话ID而定义的(多个)源识别符组之一。
网关存储源识别符组与源ID之间以及会话ID与源识别符组之间的关联。根据所存储的信息,如果确定对于请求中包括的会话ID存在一个或多个源识别符组,则检验源ID是否属于会话ID被分配的源ID的识别符组。如果是,则准许对所请求的数据/服务的访问;如果不是,则拒绝对所请求的数据/服务的访问。对于网关,这是使用额外安全性措施的机会,就像将源ID置于黑名单、撤销会话ID、警告网络管理员一样。
根据特定实施例,这样机制的实现使用网关设备中存储的表格。下面给出这样的实现的示例。
源识别符组 源ID
LAN1 191.211.100.1-10
LAN2 191.211.100.11-20
WAN 211.203.196.100-255
本地 127.0.0.1
通道 SecureVPN
DMZ 100.205.191.1-5
访客 192.110.180.1-255
表格1-源识别符组-源ID关系
会话ID 源识别符组
34567123 DMZ
565675 本地
28901 本地
787544 访客
8743214457 LAN1
8445865 LAN2
表格2-会话ID-源识别符组关系
以上表格1表明源识别符组如何根据网络接口识别符或使用关联到不同的源ID。对于每个源识别符组,定义一个或多个有效源ID。例如是LAN1的部分的设备具有从IP地址191.211.100.1-10排列的源ID。LAN2中的设备具有对应于从191.211.100.11到191.211.100.20的IP地址的源ID。广域网WAN中的设备是例如因特网上的设备,对于这些设备定义从IP地址211.203.196.100-255排列的源ID。本地代表网关自身。隧道代表VPN(虚拟专用网)接口;对此定义源ID,即VPN隧道应用的识别符。这是源ID是应用的识别符而不是网络接口地址的示例。DMZ(用于解除武装区)代表位于网络的被保护部分的设备的源ID。访客代表暂时基础上连接到网络的设备。之前已经说明了此表格中的信息如何输入(自动地、手动地或这些的组合)。
以上表格2表明会话ID如何关联到源识别符组。对于每个会话ID,存储会话ID关联到的源识别符组。
根据特定实施例,用在初始和后续请求中的源ID识别接收这些请求的源。这样,能够根据接收的源来定义源识别符组,例如:WAN(来自本地网络的外部),或本地(来自家庭网关)。根据变式实施例,用在初始和后续请求中的源ID识别发送这些请求的源。例如:落在ISP(因特网服务提供商)使用的IP地址的子网中的IP地址。根据再一变式实施例,源ID识别发送的源和接收的源两者,例如源ID用IP地址表示,该IP地址落在ISP用来发送请求(=发送的源)的IP地址和IP接口(=接收的源)的名称加上将接收请求(=接收的源)的端口号的子网。这可以是有利的,因为通过此变式,会话ID可以例如被限定到从WAN侧来自ISP并发送给网关上带有名称“因特网”、端口443(HTTPS,意味着安全HTTP)的接口的请求。
根据本发明的变式实施例,源ID识别多个物理连接器,例如连接器1、连接器8。这允许将会话关联到物理连接器,并保护对数据/服务的访问,该访问由所窃取的会话ID请求,但是根据实施例的变式,该请求从不同的物理连接器号发送或接收或两者。
根据本发明的再另一变式实施例,源ID识别网络接口地址。因为网络接口可能具有多个网络接口地址,所以将源ID耦接到网络接口地址允许将会话ID捆绑到特定子网。此变式实施例不如之前描述的实施例严格。
根据本发明的再一变式实施例,源ID识别多个网络接口。此变式具有以下优点,提出保护对数据/服务的访问的方式,该变式不如之前描述的实施例严格,并适于例如将会话ID耦接到具有多个逻辑连接器的网络接口。
根据本发明的再一变式实施例,源ID识别软件应用的识别符。这允许将源ID关联到软件应用,对于允许在不同的设备上运行的漫游应用,这反过来允许保护对经由实现本发明的方法的设备可访问的数据/服务的访问。
根据变式实施例,组合两个或多个前述变式,这允许保护对数据/服务的访问的特别准确的方式。例如,从接收请求(=接受请求的源)的网络接口地址和接收请求的连接器号,接收请求的目的地的端口号和连接器号定义源ID。当有线和无线连接两者都桥接在此(逻辑)网络接口下时,这允许确保会话ID仅对在该网络上的设备可用并不能在不同的连接器之间迁移,除非使用HTTPS。这尽可能地确保了会话ID的安全,不论是否在无线连接上使用加密(WEP、WPA)与否。WEP,即有线等效保密,是一种保护IEEE802.11无线网络的算法。Wi-Fi保护访问(WPA和WPA2)是由Wi-Fi联盟开发的检验程序以表示遵从Wi-Fi联盟创建的安全协议以保护无线计算机网络。
图4示出了实现本发明方法的特定实施例的例如通过图1的网关131实现的算法。
该算法开始于步骤400,分配和初始化算法执行所需的变量。然后,在步骤401中,接收数据/服务的请求,诸如图3的请求300。在接收请求时,执行测试步骤402。
如果确定这是初始请求(对于这如何得以确定,参见图3的描述),则算法继续步骤403,生成会话ID。对于如何根据本发明的不同变式实施例将该会话ID生成、存储并通信到请求者,参见图3的描述。然后,根据步骤404,基于在网关的存储器区2050中存储的信息,对源ID确定源识别符组。接着,在步骤405中,将所生成的会话ID关联到在先前步骤404中确定的源识别符组,并且将会话ID及其与源识别符组的关系存储在网关131的存储器区2051中。最后一步,处理该请求,即,所请求的数据/服务被传输或提供,并且该算法重复步骤401,等待数据/服务的请求。如果接收到这样的请求并且确定这不是初始请求,则执行步骤408,其中确定在包括请求者提供的会话ID的网关131的存储器区2050中是否存在至少一个源识别符组。如果不存在这样的源识别符组,则拒绝该请求并且该算法重复等待请求的步骤401。对于会话ID不存在源识别符组意味着会话ID无效,例如它是不存在的会话ID或已撤销的会话ID,即会话识别符不对应于(即,同于)关联到任何源识别符组的会话ID。因此步骤408允许在此基础上拒绝请求,并且因此步骤408构成保护对数据/服务的访问的额外安全性措施。关于本发明的不同变式实施例如何处理请求的拒绝,参见图3的描述。但是,如果这样的源识别符组存在,则在步骤409中通过检验网关131的存储器区2051中的信息,将该请求的源ID与所找到的(多个)源识别符组的源ID比较。如果不存在相同的源ID,则拒绝该请求并且该算法重复步骤401,等待另一请求的接收。关于本发明的不同变式实施例如何处理请求的拒绝,参见图3的描述。但是,如果在任一源识别符组中存在这样相同的源ID(该源识别符组对会话ID有效),即,其中,有效意味着来自请求的会话ID对应于(即,同于)关联到以上讨论的任意源识别符组中至少一个的会话ID,该请求在步骤406中被允许并被进一步处理。
这样,检验具有有效会话ID的任何请求的来源,从而拒绝源自源识别符组(不是创建会话ID的请求的源识别符组的一个)的请求。
为了遵从本发明,不需要以所描述的顺序执行在图4中描绘的步骤。例如,步骤408可以在步骤409之前执行而不改变结果。以相同的方式,在步骤404之后可以执行步骤403。
根据本发明的特定实施例,方法作用于因特网协议集的OSI(开放系统互连)参考模型应用层,即,它应用于OSI参考模型应用层。这具有以下优点,即,该方法是作用于OSI参考模型的较低层的保护的补充,诸如防火墙。然后,该方法向现有保护方法增加额外的安全性。
根据本发明的特定实施例,在网络应用中实现本发明,从而在最需要本发明的地方,即在访问端口处,提供直接以集中的方式保护对数据和/或服务的访问的优点。
图1中描述的网络只是可以使用本发明的示例网络。在保留兼容本发明的情况下,其他网络配置是可能,包括例如多于一个用户前提,具有每个或多个本地网络。在图1中,本地网络的结构也可以根据设备的数量、所使用的设备的类型和/或所使用的应用不同地构成。类似的,设备131图示的接口是DSL和以太网借口,但是本发明不限于DSL和以太网的使用。实现本发明的网关131在图1中图示为不同于其他设备的设备,但是本发明的实现不限于网关或独立设备,本发明可以很好地在网络中的任何设备(例如在个人计算机142)上实现。根据本发明的另一变式实施例,在代理设备上实现本发明,该代理设备是本地网络和其他网络之间的全部通信的接入点。
除图2图示的网关131之外的其他类型的中间设备在兼容本发明时也是可能的,诸如具有多个专用处理单元、多条数字数据通信总线的设备。根据本发明的变式实施例,设备131的物理连接在一个或多个网络接口中重新分组,即,取代每个连接一个接口,网络接口具有多个连接。然后,特定网络接口可以用以定义特定子网络,并且源ID可以随后关联于特定网络接口。本发明可以完全从运行在诸如个人计算机的多用途设备上的软件组件中构建,并且本发明可以随后用软硬组件的混合实现。根据特定实施例,本发明以硬件整体实现,例如,专用组件(例如,ASIC、FPGA或VLSI)(分别是《专用集成电路》、《现场可编程门阵列》和《超大规模集成电路》)或集成在设备上或软硬混合的形式的独立电子组件。

Claims (13)

1.一种对数据和服务的访问进行保护的方法,所述数据和服务经由实现所述方法的网络设备来访问,其特征在于,所述方法包括下列步骤:
-接收用以访问数据或至少一个服务的请求(300、306、401),所述请求(300、306、401)包括识别所述请求的源的源识别符;
-确定(402)所述请求(300、306、401)是初始请求(300)还是后续请求(306),所述确定包括:当所述请求是后续请求时,检验所述请求中会话识别符的存在,所述会话识别符识别用于访问数据或服务的会话;
-如果所述请求是初始请求(300),则根据所述网络设备的存储器中存储的将源识别符关联到源识别符组的信息确定(404)所述源识别符的源识别符组,并且如果存在源识别符组,则生成(403)用以后续访问来自源的数据或至少一个服务的会话识别符,所述源具有处于所确定的源识别符组中的源识别符,在所述网络设备的存储器中存储将所生成的会话识别符关联到所确定的源识别符组的信息,处理(305、406)所述初始请求,并且将所生成的会话识别符发送(302)到所述初始请求的源;
-如果所述请求是后续请求(306),则确定(307、409)所述源识别符的源识别符组,并且如果存在源识别符组,则将包括在所述后续请求中的所述会话识别符与关联到所确定的源识别符组的会话识别符进行比较,并且如果源识别符对应,则处理(308、406)所述后续请求。
2.根据权利要求1的方法,其特征在于,确定所述请求(300、306、401)是初始请求(300)还是后续请求(306)包括:在所存储的信息中检查对所述源识别符是否已经生成用于识别访问数据或服务的会话的会话识别符。
3.根据权利要求1到2中的任一项的方法,其特征在于,用于识别所述请求(300、401)的源的信息对发送所述请求(300、401)的源进行识别。
4.根据权利要求1到2中的任一项的方法,其特征在于,用于识别所述请求(300、401)的源的信息对接收所述请求(300、401)的源进行识别。
5.根据权利要求1到2的任一项的方法,其特征在于,用于识别所述请求的源的信息对多个物理连接器进行指定。
6.根据权利要求1到2的任一项的方法,其特征在于,用于识别所述请求的源的信息对多个网络接口进行指定。
7.根据权利要求1到2的任一项的方法,其特征在于,用于识别所述请求的源的信息对网络接口地址进行指定。
8.根据权利要求1到2的任一项的方法,其特征在于,用于识别所述请求的源的信息对软件应用的识别符进行指定。
9.根据权利要求1到2的任一项的方法,其特征在于,所述方法作用于因特网协议集的应用层。
10.根据权利要求9的方法,其特征在于,所述方法在网络应用中实现。
11.一种对数据和服务的访问进行保护的网络设备,所述数据和服务经由该设备访问,其特征在于,所述设备包括下列部件:
-被配置为接收访问数据或至少一个服务的请求(300、401)的网络接口(201-206),所述请求(300、401)包括识别所述请求的源的源识别符;
-用于确定(200、205)所述请求(300、306、401)是初始请求(300)还是后续请求(306)的部件,所述确定包括当所述请求是后续请求时检验所述请求中会话识别符的存在,所述会话识别符识别用于访问数据或服务的会话;
-如果所述请求是初始请求(300),则根据所述网络设备的存储器中存储的将源识别符关联到源识别符组的信息确定(200、205)所述源识别符的源识别符组,并且如果存在源识别符组,则生成(403)用以后续访问来自源的数据或至少一个服务的会话识别符,所述源具有处于所确定的源识别符组中的源识别符,在所述网络设备的存储器中存储将所生成的会话识别符关联到所确定的源识别符组的信息,并且处理(305、406)所述初始请求的部件,其中所述网络接口(201-206)还被配置为将所生成的会话识别符发送(302)到所述初始请求的源;
-如果所述请求是后续请求(306),则用于确定(200、205)所述源识别符的源识别符组,并且如果存在源识别符组,则将包括在所述后续请求中的会话识别符与关联到所确定的源识别符组的会话识别符进行比较,并且如果所述源识别符对应,则处理(308、406)所述后续请求的部件。
12.根据权利要求11的网络设备,其特征在于,所述用于确定所述请求(300、306、401)是初始请求(300)还是后续请求(306)的部件包括用于在所存储的信息中检查对所述源识别符是否已经生成用于识别访问数据或服务的会话的会话识别符的部件。
13.根据权利要求11到12中的任一项的网络设备,其特征在于,所述网络设备被适配于执行根据权利要求1到10的任一项的方法。
CN201180015324.7A 2010-03-22 2011-03-21 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备 Expired - Fee Related CN102823219B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10447009.1 2010-03-22
EP10447009A EP2369808A1 (en) 2010-03-22 2010-03-22 Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device
PCT/EP2011/054270 WO2011117205A1 (en) 2010-03-22 2011-03-21 Method of securing access to data or services that are accessible via a device implementing the method and corresponding device

Publications (2)

Publication Number Publication Date
CN102823219A CN102823219A (zh) 2012-12-12
CN102823219B true CN102823219B (zh) 2015-11-25

Family

ID=43012636

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180015324.7A Expired - Fee Related CN102823219B (zh) 2010-03-22 2011-03-21 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备

Country Status (7)

Country Link
US (1) US9531717B2 (zh)
EP (2) EP2369808A1 (zh)
JP (1) JP5869552B2 (zh)
KR (1) KR20130018703A (zh)
CN (1) CN102823219B (zh)
BR (1) BR112012023977A2 (zh)
WO (1) WO2011117205A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571776A (zh) * 2011-12-28 2012-07-11 中兴通讯股份有限公司 数字生活网络联盟设备的接入控制方法及装置
US9537716B1 (en) * 2012-06-18 2017-01-03 Crimson Corporation Establishing a direct connection between remote devices
US9009546B2 (en) * 2012-09-27 2015-04-14 International Business Machines Heuristic failure prevention in software as a service (SAAS) systems
CN102938717B (zh) * 2012-10-11 2018-01-30 中兴通讯股份有限公司 一种对dlna设备进行播放控制的方法、设备和系统
KR20140052703A (ko) * 2012-10-25 2014-05-07 삼성전자주식회사 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치
US9590817B2 (en) * 2014-04-01 2017-03-07 Belkin International Inc. Logical network generation using primary gateway credentials
SE541314C2 (en) * 2017-10-31 2019-06-25 Telia Co Ab Methods and apparatuses for routing data packets in a network topology

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909074A1 (en) * 1997-09-12 1999-04-14 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US6141758A (en) * 1997-07-14 2000-10-31 International Business Machines Corporation Method and system for maintaining client server security associations in a distributed computing system

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2422268C (en) 1998-08-06 2004-12-14 Cryptek, Inc. Multi-level security network system
US7174018B1 (en) 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
JP2002176432A (ja) * 2000-12-05 2002-06-21 Sony Corp 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
GB2367986B (en) 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
JP4759823B2 (ja) * 2001-03-19 2011-08-31 ソニー株式会社 ネットワークシステム、端末装置、サーバ、通信方法、プログラムおよび記録媒体
US7769845B2 (en) * 2001-05-04 2010-08-03 Whale Communications Ltd Method and system for terminating an authentication session upon user sign-off
US8346951B2 (en) * 2002-03-05 2013-01-01 Blackridge Technology Holdings, Inc. Method for first packet authentication
CA2406565A1 (en) 2002-10-04 2004-04-04 Ibm Canada Limited-Ibm Canada Limitee Method and apparatus for using business rules or user roles for selecting portlets in a web portal
JPWO2004071015A1 (ja) * 2003-02-07 2006-06-01 富士通株式会社 セッション管理プログラム、セッション管理方法およびセッション管理装置
US20050162424A1 (en) 2003-02-07 2005-07-28 Yuko Imai Computer product, session management method, and session management apparatus
US7546630B2 (en) 2003-07-17 2009-06-09 International Business Machines Corporation Methods, systems, and media to authenticate a user
JP3914193B2 (ja) * 2003-09-08 2007-05-16 株式会社野村総合研究所 認証を得て暗号通信を行う方法、認証システムおよび方法
US20050076369A1 (en) * 2003-10-06 2005-04-07 Zhijun Cai Method and apparatus for assigning temporary mobile group identity in a multimedia broadcast/multicast service
US7269146B2 (en) * 2003-10-20 2007-09-11 Motorola Inc. Method and apparatus for interchanging and processing mobile radio subsystem control information
US8578462B2 (en) 2003-12-12 2013-11-05 Avaya Inc. Method and system for secure session management in a web farm
JP4063220B2 (ja) * 2004-01-14 2008-03-19 日本電気株式会社 コンピュータシステム、サーバ計算機、コンピュータシステムのアプリケーション更新方法、プログラム
JP2005318121A (ja) * 2004-04-27 2005-11-10 Ntt Docomo Inc セッション管理装置
JP4873898B2 (ja) * 2004-08-02 2012-02-08 株式会社リコー ウェブ認証方法及びウェブ認証サーバー
JP4704000B2 (ja) * 2004-09-30 2011-06-15 フェリカネットワークス株式会社 通信システムおよび通信方法
US7492764B2 (en) * 2004-10-12 2009-02-17 Innomedia Pte Ltd System for management of equipment deployed behind firewalls
JP4527491B2 (ja) 2004-10-19 2010-08-18 エヌ・ティ・ティ・コミュニケーションズ株式会社 コンテンツ提供システム
JP2006217096A (ja) 2005-02-02 2006-08-17 Nec Corp 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム
US20090151006A1 (en) * 2005-08-31 2009-06-11 Sony Corporation Group registration device, group registration release device, group registration method, license acquisition device, license acquisition method, time setting device, and time setting method
JP4760233B2 (ja) * 2005-08-31 2011-08-31 ソニー株式会社 グループ登録装置,グループ登録方法,グループ登録解除装置,及びグループ登録解除方法
US20070162968A1 (en) * 2005-12-30 2007-07-12 Andrew Ferreira Rule-based network address translation
JP4823717B2 (ja) * 2006-02-28 2011-11-24 株式会社日立製作所 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法
US7930734B2 (en) 2006-04-28 2011-04-19 Cisco Technology, Inc. Method and system for creating and tracking network sessions
JP2008046875A (ja) * 2006-08-16 2008-02-28 Nec Corp 通信フィルタリングシステムおよび方法
US8108677B2 (en) 2006-10-19 2012-01-31 Alcatel Lucent Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
KR100944724B1 (ko) * 2007-08-21 2010-03-03 엔에이치엔비즈니스플랫폼 주식회사 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법
US8286225B2 (en) * 2009-08-07 2012-10-09 Palo Alto Research Center Incorporated Method and apparatus for detecting cyber threats

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US6141758A (en) * 1997-07-14 2000-10-31 International Business Machines Corporation Method and system for maintaining client server security associations in a distributed computing system
EP0909074A1 (en) * 1997-09-12 1999-04-14 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support

Also Published As

Publication number Publication date
JP5869552B2 (ja) 2016-02-24
CN102823219A (zh) 2012-12-12
WO2011117205A1 (en) 2011-09-29
EP2369808A1 (en) 2011-09-28
EP2550784B1 (en) 2014-12-31
EP2550784A1 (en) 2013-01-30
KR20130018703A (ko) 2013-02-25
US20130198825A1 (en) 2013-08-01
BR112012023977A2 (pt) 2016-08-02
US9531717B2 (en) 2016-12-27
JP2013522786A (ja) 2013-06-13

Similar Documents

Publication Publication Date Title
CN102823219B (zh) 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
CN101820344B (zh) Aaa服务器、家庭网络接入方法和系统
US10021101B2 (en) Embedding security posture in network traffic
EP3272059B1 (en) Apparatus and method for using certificate data to route data
CN104935572B (zh) 多层级权限管理方法及装置
CN107852359A (zh) 安全系统、通信控制方法
JP2009508403A (ja) 準拠性に基づくダイナミックネットワーク接続
US20120054358A1 (en) Network Relay Device and Frame Relaying Control Method
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
JP2015536061A (ja) クライアントをサーバに登録するための方法および装置
FI124341B (fi) Laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi
IL265929B (en) A system and method for the secure operation of a device
Castilho et al. Proposed model to implement high-level information security in internet of things
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
KR101047994B1 (ko) 네트워크 기반 단말인증 및 보안방법
CN103002441B (zh) 一种端到端的无线安全架构系统和方法
Kleberger et al. Securing vehicle diagnostics in repair shops
US20180220477A1 (en) Mobile communication system and pre-authentication filters
Baugher et al. Home-network threats and access controls
JP2005086656A (ja) 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法
Loving Enabling malware remediation in expanding home networks
KR20240108180A (ko) 네트워크 주소 변이 기반 암호화 통신 시스템 및 방법
Maheshwary et al. Safeguarding the Connected Future: Security in Internet of Things (IoT)

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190529

Address after: Paris France

Patentee after: Interactive Digital CE Patent Holding Company

Address before: I Si Eli Murli Nor, France

Patentee before: Thomson Licensing Corp.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151125

Termination date: 20210321